Arbeiderpartiet sier i regjeringserklæringen at de vil implementere datalagrings-direktivet forutsatt at det ikke fremkommer klare negative konsekvenser for personvernet. Etter Datatilsynets vurdering er det åpenbart at slike negative konsekvenser allerede er dokumentert. Tilsynet kan blant annet vise til den samstemte uttalelsen fra Personvernkommisjonen, en felles uttalelse fra europeiske datatilsynsmyndigheter og behandlingen av datalagringsdirektivet i den tyske forfatningsdomstolen, som pågår i disse dager. I Romania har for øvrig Høyesterett nylig dømt direktivet til å være i strid med landets grunnlov.
Ut over de meget sterke prinsipielle innvendingene mot datalagringsdirektivet som har kommet fram i debatten hittil, som personvern og rammevilkår for fri meningsutveksling, mener Datatilsynet at et beslutningsgrunnlag også bør omfatte grundige drøftelser med hensyn til:
Internasjonale forpliktelser.
Er Norge forpliktet til å innføre direktivet, og hva er konsekvensene ved å si nei?
Dokumentasjon av behovet.
Som Personvernkommisjonen har påpekt i sin uttalelse om direktivet, må både politiets og andre nasjonale myndigheters behov for utvidet lagring og tilgang til trafikkdata dokumenteres grundig og etterrettelig. Utredningen bør gi svar på:
- Hva skal vi beskytte oss mot? Det vil si hvilken type kriminalitet skal datalagringsdirektivet benyttes til å bekjempe? I direktivet fremheves terror og annen ”serious crime”. Hva som regnes som alvorlig kriminalitet er imidlertid avhengig av øynene som ser, og det er derfor en betydelig fare for utglidning. Det er nødvendig med klare avgrensninger.
- Hvor stor er den reelle risikoen for at vi utsettes for den aktuelle typen alvorlig kriminalitet som tiltaket er ment å beskytte oss mot?
- Vil innføring av lagringsplikt være et effektivt virkemiddel i forhold til den definerte trusselen? Eller er det ikke slik at terrorister og andre som planlegger alvorlig kriminalitet uten særlig bryderi vil benytte seg av kommunikasjonskanaler som ikke er omfattet av lagringsplikten (telefon over satellitt eller Skype, internettbasert e-post osv)?
Nye sikkerhetsproblemer?
Et hensyn som ofte overses når nye sikkerhetsløsninger introduseres er at tiltaket i seg selv kan føre til at nye typer kriminalitet og andre sikkerhetsproblemer oppstår.
Den enorme mengden lagrede opplysninger vil for eksempel være attraktive for kriminelle til bruk ved utpressing og identitetstyveri. Opplysninger om hvem du ringer til, eller på andre kommuniserer med, hvor ofte og hvor lenge, vil selvsagt også være av stor interesse for journalister, konkurrenter i næringslivet eller nysgjerrige ansatte hos tele- og internettleverandørene. Bare fantasien setter grenser. Det skal ikke mer til enn én utro ansatt før store mengder personopplysningene kommer på avveie. Hvem som er i kontakt med hvem kan ha stor verdi på det illegale markedet.
Fare for formålsutglidning
Når opplysninger først er lagret vil det oppstå et press om å få benytte disse til andre formål. Hvordan avgrense seg i forhold til hvilke andre myndigheter enn politiet som skal kunne få tilgang til dataene? For eksempel skattemyndigheter, tollvesen, ulike tilsynsmyndigheter mv.
Og; dersom vi først aksepterer prinsippet om utvidet lagring av denne typen personopp¬lysninger for hele befolkningen. Hvordan da sette grensen mot neste steg, lagringsplikt for personopplysninger vi etterlater oss også i andre sammenhenger? Hvordan kan vi, etter å ha trådt over en prinsipielt viktig grense, si nei til pålagt og utvidet lagringstid for sosiale nettsamfunn, bomstasjoner eller de nye kameraene for måling av gjennomsnittsfart på veiene? Også disse elektroniske sporene vil naturlig nok kunne være nyttige for politiet til bekjempelse av alvorlig kriminalitet.
Tekniske vurderinger
Et beslutningsgrunnlag for innføring av datalagringsdirektivet må også inneholde vurderinger knyttet til en rekke utfordringer med hensyn til hvordan lagringsplikten rent faktisk skal implementeres, blant annet:
- Hvordan avgrense hvilke tele- og internettaktører som skal omfattes av lagringsplikten?
- Hvilke aktører skal pålegges å lagre hvilke typer data – rent konkret? Skal for eksempel opplysninger om en og samme e-postmelding lagres hos både avsenders og mottakers teleoperatør?
- Hvordan skal de lagrede dataene struktureres på en mest mulig ensartet måte slik at de kan være til reell nytte?
- Hvordan ivareta krav til informasjonssikkerhet, tilgang til dataene, rutiner for utlevering til politiet mv?
- Hvordan gjennomføre effektiv kontroll med de involverte aktørene?
Rene kost-nyttevurderinger
Til sist må det også gjennomføres rent økonomiske kost-nyttevurderinger. Er lagring av enorme mengder tele- og internettrafikkdata et kostnadseffektivt tiltak, sett opp mot alternativ bruk av tilsvarende ressurser?
Blant annet må følgende kostnader inkluderes i regnestykket:
- Samlede kostnader knyttet til lagring og administrasjon av de enorme mengdene trafikkdata hos flere hundre tele- og Internettleverandører.
- Kostnader knyttet til å implementere tilstrekkelig grad av informasjonssikkerhet i alle ledd.
- Kostnader knyttet til rutiner for uthenting av trafikkdata, både knyttet til politi, domstoler og ikke minst hos tele- og Internettleverandørene.
- Kostnader knyttet til effektivt tilsyn og kontroll. Selv med et klart regelverk og en betydelig ressursbruk fra kontrollinstansenes side vil det være svært vanskelig å utøve en effektiv kontroll med at personopplysningene ikke blir misbrukt.
- Vurderinger med hensyn til mulige kostnader ved lekkasjer og misbruk av data. Dette bør omfatte både kostnader for samfunnet og kostnader for de personene som rammes.
En beregning må inneholde både kostnader knyttet til implementering av lagringsplikten, og senere årlige kostnader for de berørte partene.
En lagringsplikt antas å koste samlet flere hundre millioner kroner. Vil dette være riktig ressursbruk, sett opp mot flere politifolk, mer effektive kommunikasjons-løsninger innen politiet, eller forebyggende arbeide og dialog med aktuelle miljøer? Datatilsynet mener også at de samlede kostnader knyttet til en eventuell innføring av datalagringsdirektivet bør fremkomme på Justisdepartementets eget budsjett. På denne måten tiltakets effektivitet måles opp mot tiltak som trolig vil være betydelig mer effektive til bekjempelse av terror og annen alvorlig kriminalitet, og som vil ha mindre alvorlige samfunnsmessige konsekvenser.
Økende usikkerhet i Europa
Den svenske utredningen om datalagringsdirektivet ble på over 300 sider og var ferdig for over to år siden. Imidlertid har svenske myndigheter fortsatt ikke fattet vedtak om å innføre direktivet i svensk rett. Dette til tross for at EU truer Sverige med bøter. Og som nevnt innledningsvis råder det nå en økende usikkerhet omkring datalagringsdirektivet i flere europeiske land.
Datatilsynet imøteser derfor et høringsforslag fra den norske regjeringen med stor interesse.
Link: ”Lagring av trafikuppgifter för brottsbekämping”, SOU 2007/76 (nytt vindu, svensk, pdf)
Les Datatilsynets temaside om datalagringsdirektivet